Consulta pública sobre a proposta de Regulamento do Parlamento Europeo e do Consello polo que se modifican os Regulamentos (UE) 2016/679, (UE) 2018/1724, (UE) 2018/1725, (UE) 2023/2854 e as Directivas 2002/58/CE, (UE) 2022/2555 e (UE) 2022/2557 no que respecta á simplificación do marco lexislativo dixital, e derróganse os Regulamentos (UE) 2018/1807, (UE) 2019/1150, (UE) 2022/868 e a Directiva (UE) 2019/1024 (Ómnibus Dixital)

Fecha de publicación: 13/03/2026

Plazo: 13 de marzo ao 29 de marzo de 2026.

Contexto

El artigo 133 da Lei 39/2015, do 1 de outubro, do Procedemento Administrativo Común das Administracións Públicas, en relación co artigo 26.2 da Lei 50/1997, do 27 de novembro, do Goberno, establece que, co obxectivo de mellorar a participación dos cidadáns no procedemento de elaboración das normas, debe realizarse unha consulta pública a través do portal web da Administración competente. En ela solicitarase a opinión dos suxeitos e das organizacións máis representativas potencialmente afectados pola futura norma acerca de:

a) Los problemas que se pretenden solucionar coa nova normativa.
b) La necesidade e oportunidade da súa aprobación.
c) Los obxectivos da norma.
d) Las posibles solucións alternativas regulatorias e non regulatorias.

En cumprimento do anterior, e de acordo con o disposto na Orde PRE/1590/2016, do 3 de outubro, pola que se publica o Acordo de Consello de Ministros do 30 de setembro de 2016, que dita instrucións para habilitar a participación pública no proceso de elaboración normativa a través dos portais web dos departamentos ministeriais, ábrese esta consulta pública previa.

Los cidadáns, organizacións e asociacións que así o desexen, poderán facer chegar os seus comentarios ata o 29 de marzo de 2026 a través do seguinte formulario:

https://forma.administracionelectronica.gob.es/form/open/corp/1be942e0-53cf-4443-af69-2c7d2f7062ef/MCaM

En os comentarios que se presenten será necesario facer constar os datos de identificación da persoa física ou xurídica (nome, apelidos, NIF) así como a denominación completa da organización ou asociación participante, no seu caso.

A este respecto, cabe sinalar que unicamente serán tomadas en consideración as respostas nas que a persoa estea identificada.

Con carácter xeral, as contribucións recibidas consideraranse susceptibles de difusión pública. Las persoas físicas que non desexen a publicación da súa identidade deberán manifestar expresamente. Así mesmo, as partes da información remitida que, a xuízo das persoas interesadas, deban ser tratadas con carácter confidencial e, en consecuencia, non proceda a súa libre difusión, deberán ser especificamente sinaladas no propio texto da contribución.

Obxectivo da consulta

Recoger a opinión da cidadanía, organizacións e actores interesados sobre:

  • Problemas que se pretende solucionar.
  • Necesidad e oportunidade da reforma.
  • Los obxectivos que debería perseguir a nova norma.
  • As posibles alternativas regulatorias ou non regulatorias.

Antecedentes e problemas que se pretenden solucionar coa nova norma.

La proposta de Regulamento Ómnibus Dixital (2025/0360 COD) constitúe unha iniciativa da Comisión Europea destinada a simplificar, aclarar e modernizar o marco regulador europeo en materia de datos mediante unha reforma integral que consolida e racionaliza a lexislación existente. O seu obxectivo principal é reducir as cargas administrativas para empresas e administracións públicas, reforzar a seguridade xurídica e promover a competitividade europea, sen comprometer os elevados estándares de protección dos dereitos fundamentais, a privacidade e a seguridade da información.

La proposta de regulamento aborda a modificación de diversas disposicións no ámbito comunitario co fin de integrar nun único marco xurídico harmonizado disposicións actualmente contidas no Regulamento (UE) 2022/868 (Regulamento de Gobernación de Datos), a Directiva (UE) 2019/1024 (Directiva sobre datos abertos e reutilización da información do sector público) e o Regulamento (UE) 2018/1807 (libre circulación de datos non persoais), que quedarán derrogados unha vez entre en vigor o novo Regulamento. Así mesmo, introduce axustes específicos no Regulamento (UE) 2023/2854 (Regulamento de Datos) para mellorar a súa coherencia interna, clarificar conceptos crave e adaptar determinadas obrigas á evolución do mercado dixital e das tecnoloxías emerxentes.

El artigo 1 constitúe o núcleo desta reforma, xa que reconfigura de maneira profunda o réxime europeo no ámbito dos datos mediante:

  • a integración normativa dos distintos instrumentos xurídicos existentes nun único marco harmonizado;
  • a mellora da regulación sobre servizos de intermediación de datos e organizacións de altruísmo de datos;
  • o establecemento de regras máis claras e proporcionadas para a posta a disposición de datos por parte das empresas ás administracións públicas en situacións de emerxencia pública;
  • o reforzo da protección fronte aos riscos de revelación de segredos comerciais, especialmente cando interveñen terceiros países con niveis de protección xurídica inferiores aos da Unión;
  • a unificación e actualización do marco para a reutilización dos datos do sector público, a libre circulación dos datos non persoais
  • a facilitación dos procesos de cambio de provedor en servizos de tratamento de datos, en particular no ámbito da computación na nube.

El artigo 2 introduce no Regulamento (UE) 2018/174, no anexo relativo á «posta en marcha, xestión e peche dunha empresa», as referencias pertinentes aos servizos de intermediación de datos e á cesión altruísta de datos.

Los artigos 3 e 4 incorporan modificacións no Regulamento (UE) 2016/679 (Regulamento xeral de protección de datos) así como no Regulamento (UE) 2018/1725, co fin de adaptar a súa redacción ás modificacións introducidas no artigo 3 co fin de aclarar conceptos nesta materia e reforzar a seguridade xurídica. En relación con esta materia, no artigo 5 prevese modificacións da Directiva 2002/58/CE («Directiva sobre a privacidade e as comunicacións electrónicas») co fin de adecualo á nova regulación, de tal modo que permite trasladar ao RGPD as normas sobre o almacenamento e o acceso aos datos persoais do equipo terminal dunha persoa física.

Pola súa banda, nos artigos 6, 7, 8 e 9 regúlase o punto de entrada único para a notificación de incidentes. O portelo único de notificación de incidentes cubertos por distintos marcos regulatorios (reporting), estará xestionada por ENISA, a axencia europea para a ciberseguridade. Esta reforma pretende que as notificacións, enviadas por unha empresa ou organismo, cumpran simultaneamente, mediante un informe único, coas obrigas derivadas da normativa NIS2/SRI2, RGPD, DOURA, CER e eIDAS.

Por último, o artigo 10 establece disposicións derrogatorias e transitorias. Neste artigo, entre outros, derrógase o Regulamento (UE) 2019/1150 do Parlamento Europeo e do Consello, do 20 de xuño de 2019, sobre o fomento da equidade e a transparencia para os usuarios profesionais de servizos de intermediación en liña (Regulamento Platform-to-Business) de face a simplificar a normativa aplicable a plataformas en liña tendo en conta que, desde a súa aprobación en 2019, aprobáronse outras normas que cobren, en parte, as mesmas cuestións que o Regulamento Platform-to-Business. No entanto, os artigos 4 e 11 do Regulamento, así como diversas disposicións adicionais vinculadas, mantéñense en vigor ata o ano 2032, debido a que son artigos e disposicións referenciadas noutras normas, que deberán ser modificadas antes de 2032.

En conxunto, a proposta supón un punto de inflexión estratéxico na adaptación do marco regulador europeo a unha contorna global altamente competitivo, priorizando a axilidade normativa, a innovación e a soberanía tecnolóxica da Unión, e asegurando que as normas actúen como motor do crecemento económico e do mercado único de datos.

2.Obxectivos da norma.

Con o fin de dar resposta aos retos expostos pola economía do dato e avanzar na redución de cargas administrativas que impulsen a competitividade, os principais obxectivos do Regulamento Ómnibus Dixital son:

  • Simplificar e unificar parte do conxunto lexislativo en materia de datos, reducindo de cinco a dous os actos xurídicos principais (o Regulamento Xeral de Protección de Datos e o Regulamento de Datos consolidado) para eliminar solapamiento normativo e incoherencias, e contribuír a unha mellora da seguridade xurídica; así como refundir e/ou eliminar regulamentos que quedaron superados por lexislacións máis recentes.
  • Fortalecer as garantías de protección de segredos comerciais nos intercambios de datos B2C e B2B, ampliando os supostos nos que os tenedores poden denegar o acceso cando exista risco de divulgación, xa sexa por entidades de terceiros países ou por organizacións establecidas na UE baixo control extracomunitario.
  • Simplificación do réxime de posta a disposición do sector público de datos no suposto de emerxencias públicas, eliminando o suposto de “necesidades excepcionais”, establecendo criterios justificativos claros, prazos e requisitos mínimos das solicitudes, e eximindo a micro e pequenas empresas cando os pedimentos estean vinculadas a tarefas de mitigación ou recuperación.
  • Impulsar un mercado do dato máis áxil e competitivo mediante a substitución do sistema obrigatorio de notificación de intermediarios por un rexistro voluntario, a creación dun marco harmonizado para servizos de intermediación e entidades de altruísmo de datos con distintivos europeos, o fomento de cesións altruístas para fins de interese xeral e a posibilidade de impor condicións específicas a grandes plataformas (‘gatekeepers’) na reutilización de datos públicos.
  • Favorecer a innovación e a interoperabilidade suprimindo requisitos ríxidos aplicables a contratos intelixentes para permitir o desenvolvemento de tecnoloxías como blockchain, facilitando a portabilidade e cambio de provedor en servizos na nube —especialmente para pemes e solucións a medida— e eliminando restricións sobre a localización de datos non persoais para asegurar a súa libre circulación na UE.
  • Reforzar unha gobernación coordinada do ecosistema de datos, potenciando o Comité Europeo de Innovación en Materia de Datos (CEID), habilitando mecanismos de reclamación áxiles ante autoridades competentes, e establecendo en cada Estado membro un punto de acceso único que concentre a información relativa a recursos e servizos de datos.
  • Clarificar e actualizar o marco de protección de datos persoais, precisando definicións esenciais como “datos persoais”, facilitando o cumprimento para pemes e tratamentos de baixo risco, delimitando o alcance da seudonimización, mellorando os requisitos de información e notificación de brechas, e achegando claridade sobre o uso de datos en adestramento de sistemas de IA.
  • Se modifica o réxime aplicable ao almacenamento e acceso a datos en equipos terminais, incluídas as cookies. O almacenamento e acceso a datos persoais de equipos terminais de persoas físicas pasa a estar regulado en exclusiva polo RGPD, quedando a aplicación do marco de ePrivacy limitada ao resto de casos (ex. datos non persoais). O novo réxime previsto no RGPD amplía os supostos nos que non é necesario o consentimento. Así mesmo, esixe que o consentimento poida ser rexeitado nun click, que non se poida volver solicitar ata pasados 6 meses ou que poida expresarse por medios automatizados, por exemplo, a través do navegador, excepto no caso de servizos de medios de comunicación.
  • Crear un mecanismo centralizado de notificación de incidentes que unifique obrigas procedentes de distintos marcos normativos, reduza cargas administrativas e garanta a adecuada transferencia de información ás autoridades competentes. As obrigas de notificación que se crean teñen natureza, destinatarios e finalidades distintas. No caso do RGPD, a notificación dunha brecha de datos á autoridade de protección de datos pode obedecer a causas moi diversas —erros internos, perda de dispositivos, accesos non autorizados— e non necesariamente a un incidente de ciberseguridade en sentido estrito. No caso de NIS2, as notificacións van dirixidas ao CSIRT nacionais e teñen por obxecto activar unha resposta técnica operativa. Ambas as obrigas teñen autoridades receptoras distintas, prazos diferentes e finalidades que non son intercambiables. O SEP operará como canle de transmisión: as entidades enviarán a notificación ao SEP, que a redirixirá a cada autoridade competente. A proposta exclúe expresamente que ENISA acceda ao contido das notificacións, salvo disposición sectorial en contrario.
  • Se derroga o Regulamento (UE) 2019/1150 (Regulamento Platform-to-business), aínda que, de forma transitoria, mantéñense en vigor ata o ano 2032 os artigos 4 e 11 do Regulamento, así como diversas disposicións vinculadas.

Plazo de participación

13 de marzo ao 29 de marzo de 2026.

Canle de participación

https://forma.administracionelectronica.gob.es/form/open/corp/1be942e0-53cf-4443-af69-2c7d2f7062ef/MCaM

Anexos

Texto da Consulta Pública